1项目概述
1.1项目背景
1.1.1项目目的、意义及背景
网络安全形势近年出现新变化,网络安全态势变得越来越复杂,黑客攻击入侵、勒索病毒等网络安全事件愈演愈烈,严重威胁到我国的网络空间安全。同时,国内不少关键信息基础设施的建设管理单位安全意识不够、安全投入不足,面临网络安全保护的巨大挑战,让国家关键信息基础设施成为网络攻击的重灾区。
为了检验这些国家关键信息基础设施的实际安全防护能力,网络安全主管单位近年来,每年对包括政府部门、央企、内的部分国家关键信息基础设施开展网络安全攻防演练。届时公安部将组织由安全厂商、测评机构、安全服务商、运营商等单位的网络安全专业技术人员组成若干攻击队伍对列为目标的系统进行安全攻击测试,验证目标系统安全防护能力的有效性。
******税务局等互联网业务系统安全性,夯实网络安全基础,全面做好互联网安全保障,确保稳定运行,按照税务系统“外防攻击、内防窃数”的网络安全工作原则,一是做好省局互联网业务系统白帽子安全众测,充分挖掘互联网业务系统安全漏洞,提升业务安全能力。二是按照《网络安全法》和税务系统网络安全规范,开展网******税务局攻防演练(重大时期安全保障)和国家安全周宣贯服务。
本项目是延续性项目,上一年度服务期采购合同******有限公司。
本项目没有分包。
1.2项目内容
1.2.1采购内容
(1)互联网安全服务
******税务局面向社会公众服务的金税四期和金税三期相关重要互联网涉税应用系统14个;一年2次针对网络和数据安全事件应急响应支持服务;服务期一年。
(2)攻防演练(重大******税务局完成至少三次网络安全相关的攻防演习(省级、行业级及国家级)的安全方案制定、安全测试、安全加固和安全值守工作,按照采购人要求做好年度网络安全宣传周相关宣传内容的编制,宣传手册、宣传展示和网络及数据安全宣传的制作,开展相关的网络和数据安全广泛性宣传。每次攻防演习服务时间不低于20天。派驻的安全技术支持人员需具备全面的安全攻防理论知识,并具备较高的安全攻防能力。
1.2.2项目实施要求
1.2.2.1实施范围要求
采购人指定需要进行安全测试、漏洞挖掘和安全防护的互联网税费业务系统,按照服务要求做好国家、税务行业和省内组织的各类网络安全攻防演相关的安全值守及税务系统内网络安全周宣贯服务等。
1.2.2.2实施时间要求
2025年6月14日-2026年6月13日
1.2.2.3实施地点要求
******税务局数据处理中心
2投标/响应要求
2.1对供应商的要求
2.1.1必备资质
2.1.1.1投标人应遵守有关国家法律、法规和条例,具备《中华人民共和国政府采购法》第二十二条的规定和本文件中规定的条件。
2.1.2是否允许联合体
否
2.1.3是否专门面向中小企业
本项目专门面向中小企业采购项目
2.2技术部分投标/响应内容
2.2.1投标/响应方案要求
以下相关方案,若作为评审因素,则投标人应在满足★关键指标项要求的前提下,根据项目特点和采购需求,制定更为完整、详细、可操作性强的方案。
(1)项目需求理解
投标人须充分理解招标文件,根据招标文件有关章节提供的材料以及所了解的税务信息系统建设的情况,针对本项目的要求,承诺满足采购人列出的所有需求。此项内容作为考察投标人是否具备完成本项目能力的重要依据。
(2)项目实施方案
投标人须根据本次项目需求制定项目实施管理方案,方案内容应包含安全服务团队的组建,国家、行业和省级攻防演练的安全布防总体规划,7*24小时安全值守工作内容、安全众测服务的安排和执行、网络安全宣传周具体宣贯内容及安全应急响应支持服务等,方案内容完整,描述详尽,符合实际情况且优于规范要求,内容、方法与技术措施应完整、具体、合理,应符合要求。
(3)管理方案
投标人须按照项目管理要求编制相关方案,内容包括但不限于对计划管理、进度管理、配置管理、质量管理、风险管理、沟通管理等的实现描述。
3项目需求
3.1总体要求
******税务局涉税互联网应用系统的漏洞测试和发现,深层次挖掘现有互联网业务系统中存在的漏洞和隐患,并对漏洞修复提出可行性意见建议,确保涉税业务网络和数据安全。为采购人在国家、江西省和税务总局组织的网络安全攻防演练活动的准备阶段、实施阶段和总结阶段提供响应的技术规划、方案制定、隐患排查、边界加固和值班值守等具体服务内容,确保安全可控;为采购人年度网络安全和数据安全宣传提供方案策划,结合最新安全安全态势制定行相关安全宣传内容,提供安全宣贯相关物料,进一步提升税务干部和运维人员安全安全意识,提升安全管理水平。
3.2服务内容和要求
采购文件(技术部分)中有标注★号的,为必备服务要求,必须满足,如未作出响应,将导致响应无效;#为重要服务内容、△为一般服务内容。
3.2.1技术和服务客观指标
3.2.1.1★互联网安全服务
1、服务内容
互联网安全服务主要内容包括依托众测服务平台对采购人互联网业务系统开展漏洞挖掘测试及应急响应支持服务,详细要求如下:
2、服务要求
(1)测试方法和漏洞至少包括端口扫描、sql注入、xxe注入、跨站脚本、口令获取、远程命令执行、社会工程、逻辑缺陷、越权漏洞、xss漏洞、csrf漏洞、ssrf漏洞、任意文件操作、web脚本及应用测试、中间件漏洞等。
(2)服务期内,针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等,供应商应以最直接方式向客户告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息等,必要时提供现场应急响应支持服务。
(3)服务期内,针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等,供应商应以最直接方式向客户告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息等,必要时提供现场应急响应支持服务。
(4)供应商在服务期内只能验证漏洞是否存在,不得影响系统运行或获取数据。
(5)供应商对服务期间发现的漏洞,及时提供漏洞报告并制定安全加固方案,协助采购人开展安全加固工作和回归测试。
(6)供应商应按采购人要求,就紧急、疑难问题提供远程电话或社交工具技术支持。
(7)在发现安全风险后,1个自然日内互联网渗透测试平台技术专家需提供相应的线上漏洞报告和解决建议。
(8)对于用户修复后的漏洞,由供应商提供严格的回检服务,并且在用户申请后的3日内反馈回检结果,确认漏洞是否修复;如若用户修复不成功则会告知用户继续修复,回检次数不做限制。
(9)供应商组织的安全检测,测试内容包括但不限于网络、系统、应用、业务流程等层面,同时应根据各层面特征有针对性的制定测试方案和测试策略,内容包括但不限于测试手法、测试工具、风险规避措施等。
(10)在服******税务局对接人。
(11)为保证被评估目标的覆盖面、真实性、深入性,深度发现应用系统所存在的网络安全问题和面临的网络安全威胁,每次测试参与测试人员不少于15人,时间不少于15天。测试验收时需保证至少发现10个以上导致业务严重危害的高危等级漏洞。
3.2.1.2★攻防演练(重大安全保障)和安全周宣贯服务
1、服务内容
攻防演练(重大安全保障)和安全周宣贯服务主要内容为在攻防演练及重大安全保障期间提供风险评估、渗透测试和应急值守工作,协助采购做好网络安全宣贯的组织筹备和宣贯资料及视频准备等,详细需求如下:
2、服务要求
(1)投标人需提供不少于10名安全服务工程师,在本年度内配合采购人完成至少3次网络安全相关的攻防演习(省级、行业级及国家级)的安全方案制定、安全测试、安全加固和安全值守工作。
(2)按照采购人要求做好年度网络安全宣传周相关宣传内容的编制,宣传手册、展板和网络及数据安全宣传视频的制作,开展相关的网络和数据安全广泛性宣传。每次攻防演习服务时间不低于20天。派驻的安全技术支持人员需具备全面的安全攻防理论知识,并具备较高的安全攻防能力。
3.2.1.3★安全技术支持服务
1、供应商需按照国家关于建设安全防护体系的指导思想,结合江西税务业务网络安全的现状,强化互联网安全保障,做好互联网涉税应用系统的安全众测,协助开展相关的安全漏洞整改复测;在攻防演练期间应对可能发生的网络安全事件,最大力度保障本单位网络系统在攻防演练中全面防御来自攻击方的网络攻击,打赢“攻防演练”防御战。同时,加强本单位自身信息系统的安全保护措施,完善信息安全体系建设和实施,提升网络安全防护能力。
2、建立可靠的安全应急响应预案和应急响应处理流程,最大限度消除系统运行中各类突发事件的危害和影响,保障系统不受突发安全事件的破坏,确保系统的业务连续性和可用性,实现应急响应工作的规范化、制度化和流程化。
3、按照采购人信息系统运行特点积极做好安全保障和漏洞测试工作,建立信息安全预警和事件快速反应机制,建立高效的事件汇报渠道,保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接,一旦出现影响信息系统的安全事件,快速反应,及时准确处置。在现有安全监测措施的基础上,对重点系统进行持续和重点加强监控,及时发现安全隐患进行安全预警,并采取针对性的应对措施消除隐患。按照“早发现、早报告、早处置”的原则,加强对信息安全突发事件和可能引发信息安全突发事件的有关信息的收集、分析判断和持续监测。
3.2.2技术和服务优选指标
4人员要求
4.1总体要求
供应商应按照本项目服务要求组建不少于10人的综合技术服务团队,提供互联网安全众测服务、互联网安全应急响应支撑服务、重大时期保障和攻防演练等高技术服务,参与本项目的漏洞众测的技术服务人员应具有较高网络安全经验、安全渗透和攻击防范技能,熟悉精通windows、linux、数据库、中间件安全防护技术,确保能深度发现现有应用系统存在的安全隐患,发生网络攻击时能及时阻断攻击并开展攻击溯源。供应商应针对本项目提供具有网络安全3年及以上从业经验、获得相关网络安全类证书的技术服务人员。互联网众测工作要求每次众测征集不少于15名通过认证的白帽子,重大保障及攻防演习提供不少于10名的专业安全工程师,在服务器内按照采购人要求完成至少三次网络安全相关的攻防演习(省级、行业级及国家级)的安全方案制定、安全测试、安全加固和7*24小时安全值守工作。
4.2管理团队
4.2.1项目经理
供应商要配备有经验的专职项目经理,项目经理作为项目的总接口人及项目总负责人,负责项目实施的全面工作。在项目实施过程中,项目经理严格按照项目实施计划,全权负责项目进度的管理与监督,根据实际业务要求、各种资源状况、系统运行状况,项目经理须全面规划出符合实际的整个工作进度计划,其中包括:工作进度总时间表和人力资源表;各阶段的具体工作内容、工作周期以及相应的负责人员;项目里程牌的定义及完工标准。项目经理将按照制订的工作进度计划对项目实施进行协调、监督与管理,定期向项目领导小组做进度报告;对于计划调整的部分,必须及时向采购人提交变更申请,在得到批准后,及时调整工作进度计划,并在保证工期和质量的前提下,协调各种资源,监督项目实施。项目经理要审查技术实施后的项目质量,以确保整个项目顺利、高质量的完成。
4.3技术团队
供应商需为本项目组建技术服务团队,互联网安全众测白帽子根据安全测试要求现场征集,相关白帽子必须具备安全渗透测试和漏洞发现相关的资质和技术能力,负责重大时期保障和攻防演练的服务人员必须具备渗透测试、日志审核和溯源应急相关的安全技能。同时,供应商须为本项目组建二线技术支持团队。二线技术支持团队配置完全,至少包含安全攻防专家、安全溯源专家、数据库专家、安全应急响应专家等。
4.4优选资质/优选指标
5管理实施要求
(1)投标人应成立项目组,严格遵守本项目管控的要求。基于成熟的项目管理方法论,制订完善的项目管理制度、流程,合理划分项目管理的阶段,在项目执行过程中对项目进行规范化管理,确保项目进度和质量。
(2)若在本技术需求书中出现不合理或不完整等可能影响项目实施的问题,中标人有责任和义务提出补充修改方案并征得招标人同意后付诸实施,招标人不再另行支付任何费用。其他未尽事宜,由中标人与招标人协商。
5.1沟通管理
项目实施过程中,投标人须通过建立制度化的沟通渠道等方式,加强与招标人的沟通。投标人须遵守招标人项目管理相关规定,接受招标人项目组和项目负责人的领导,指定负责人与招标人保持沟通和协调。投标人须建立项目例会制度,就项目进展情况、存在的问题、需要协调的主要事项、下一阶段工作计划等与招标人进行适时地沟通协调。
5.2进度管理
投标人须采用科学合理的方法确定进度目标,编制项目进度计划,在确保项目质量和安全的原则下,控制项目进度。
5.3质量管理
投标人应具备完善的质量管理体系,督促落实各环节质量控制内容和目标,保证各个阶段工作满足招标人对质量的要求。投标人应根据项目进度计划,对阶段性工作成果进行审查和测试,并向招标人提交里程碑工作成果,保证各阶段性成果的质量和整个项目的质量。
5.4变更管理
投标人应具备完善的质量管理体系,督促落实各环节质量控制内容和目标,保证各个阶段工作满足招标人对质量的要求。投标人应根据项目进度计划,对阶段性工作成果进行审查和测试,并向招标人提交里程碑工作成果,保证各阶段性成果的质量和整个项目的质量。
5.5风险管理
投标人应制定应急预案,针对项目进行过程中可能存在的风险,进行评估和制定应对措施。
6保密要求
按照税务总局要求,在提供技术前,供应商和运维服务人员必须与采购人签订相关安全保密协议和承诺书,承诺包括网络安全管理规定和相关保密要求。保密时限最低10年,法律法规有规定的从其规定,中标人未经采购人技术部门和业务部门许可,不得私自对外开放系统接口及系统数据,因个人原因导致采购人安全问题和数据泄密需承担法律责任。
供应商在任何时候对其持有的事务或其事务运转操作方法等信息实行严格保密;除非有书面授权或出于相关方进行活动的必要,不得在任何时间向任何人透露任何保密信息;除非有书面指示或出于履行其义务的合理要求,不得把任何保密信息交给任何人;不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。
具体要求如下:
1、供应商必须与采购人签署信息安全保密协议,保证采购人信息不被泄露;
2、供应商为采购人提供运维服务的人员必须与采购人签署信息安全保密承诺书;
3、供应商应严格遵守采购人的各项安全管理制度,严格按照操作流程操作,避免人为或非人为因素的信息泄露;
4、进入采购人服务地点的人员禁止携带任何移动存储平台进入工作场地,并要求对接触的信息保密。
5、运维服务人员必须遵守江西税务安全管理规范,因个人原因导致采购人安全泄密需承担法律责任。
7知识转移要求
******税务局相关管理规程和要求,将项目执行过程所涉及的相关知识和工作文档按照招标人提出的质量、数量、提供方式、提供时间等要求进行整理,并按照要求转移给招标人。具体要求如下:
(1)投标人须将项目开展涉及的源代码、需求文档、设计文档、安装使用文档等知识通过文档等形式转移给招标人,并将项目所涉及的其他各类工作文档按照要求进行移交归档。
(2)项目实施过程中,为确保移交文档的一致性和完整性,投标人须按照项目实施计划,分层次、分阶段进行项目文档提交。
(3)项目结束时,投标人须按照项目要求及时向招标人移交项目所有相关文档。
8风险管控要求
(1)安全风险管理
投标人应充分预估项目实施中存在的安全风险,包括并不限于:服务人员人身伤害风险、网络安全、数据安全要求等,制定可靠的安全保障措施。
(3)进度风险管理
投标人应充分预估项目实施中存在的影响项目进度的风险,包括并不限于工作量变更、人员变更等,制定可靠的进度保障措施,确保项目按期完成。
3()质量风险管理
投标人应充分预估项目实施中的质量风险,严格按照系统运行管理要求,保质保量完成系统运行维护工作,制定可靠的质量控制措施。
9履约验收要求
9.1总体要求
9.2具体要求
1、验收主体
由采购人自行组织相关项目管理及验收小组进行最终验收。
2、验收时间
服务期结束后开展项目最终验收。
3、验收方式
审核本项目互联网安全服务、重大时期安全保障和安全周宣贯服务实施工作内容的完成情况,审核服务的合规性和完整性,与合同要求的符合性。
4、验收程序
中标人应按照采购人要求,移交项目实施过程中的各类文档,并经过采购人或者验收小组验收签字。
5、验收内容
(1)服务商应按照采购人要求,移交项目施过程中的各类文档,并经过采购人验收签字。
(2)各项安全服务的执行情况等。
(3)检验各项验收文档资料是否完整、准确、规范。
(4)审查实施服务报告,评价各类服务对象的运行稳定性。
(5)审查服务人员工作主动性,是否按时按量完成采购人交办的与服务相关的工作。
(6)中标人应就项目实施工作,采取文档讲解、会议研讨、培训、在日常工作中进行传帮带等方式,完成对采购人的知识转移工作。
6、主要交付物
中标人应向采购人提供以下文档但不限于下述文档:
(1)服务报告。出具包括但不限于盖章签字的互联网业务系统众测项目服务报告、应用系统安全漏洞修复报告,互联网安全应急响应服务报告,项目验收总结报告、网络安全攻防演练安全测试报告、网络安全攻防演练总结报告,网络安全攻防演练布防技战法报告,网络安全宣传周宣贯工作总结报告等。
(2)实施方案。项目实施技术方案。
(3)会议纪要。按采购人要求召开例会讨论服务过程中出现的问题,记录并整理会议纪要。
(4)项目验收文档。项目验收过程中产生的所有验收报告、明细清单,并汇总成册。
(5)过程文档。项目实施过程中形成的工作计划和工作记录。
(6)变更文档。项目实施过程中的发生的计划变更、内容变更、配置变更等实时记录。
(7)项目其它文档。项目实施过程中需要归档的其它文档。
7、验收标准
(1)服务依据:《税务系统政府采购履约验收管理办法》(试运行)
(2)本项目服务期结束。
(3)中标人保质保量、按整体解决方案如期完成采购人互联网安全众测、应急响应支持、重大时期保障、攻防演习值守及安全周宣贯等工作任务,满足采购人对服务质量、技术指标、服务成果全部要求。
10其他要求
10.1必备要求
10.1.1★税收信息化项目开发和应用管理工作要求
供应商在采购以及后续项目实施过程中,应严格遵守国家税务总局税收信息化项目开发和应用管理工作要求。对于因失信行为纳入《税务系统信息化服务商失信行为记录名单》的供应商,存在一般失信行为的,由采购人函告服务商;存在严重失信行为的,由采购人约谈服务商主要负责人;对于违反合同约定的,依据合同约定及政府采购有关规定,采购人可采取要求限期改正、在应付合同金额中扣除违约金、解除合同、拒绝参加税务系统政府采购活动等措施;对于存在影响恶劣的严重违法失信行为的,由采购人按规定推送财政部纳入政府采购严重违法失信行为记录名单。
本项目不涉及信息化项目开发和应用管理。
10.1.2★供应链安全管理要求
1、人员资格要求
(1)签订承诺书。供应商应严格落实国家税务总局网络安全和保密管理要求,承担技术支持人员的网络安全和保密管理责任,按采购人要求签订协议和承诺书。
(2)开展背景审查。供应商承担技术支持人员背景审查工作,提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料,并提交采购人进行备案。
(3)设置网络安全负责人(由驻场运维人员兼任)。供应商为本项目配备一名网络安全负责人,该负责人具备独立决策能力并保持相对稳定,在项目实施的全过程负责网络安全工作,组织落实各项网络安全要求。
2、日常行为规范要求
(1)工作能力要求。供应商负责对技术支持人员进行资格条件、工作胜任力以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、工作秘密和税费数据等信息泄露、信息系统越权访问和网络攻击等风险。
(2)教育培训要求。供应商负责对技术支持人员进行网络和数据安全法律法规、网络安全意识、网络安全管理、网络安全技能、保密意识以及网络安全警示教育等培训,上岗前对其进行考核。
3、违约惩戒措施
供应商对供应链安全管理责任落实不到位,造成安全事件或产生不良影响的,采购人按照《税务系统信息化服务商失信行为记录名单制度(试行)》(税总办征科发〔2022〕1号)要求,组织对供应商进行失信行为认定,并采取相应的处置措施。
4、安全管控要求
源代码安全要求。供应商应加强源代码安全管理,开发环境的可信可控,使用第三方组件必须执行测试和升级加固,确保税务供应链安全。
10.1.3★信息化服务运维人员要求
本项目涉及信息化服务运维人员的,运维人员应当是运维单位的正式人员,或者是与运维单位签订1年以上劳动合同且实际工作满1年的人员,常驻运维人员应当为技术骨干。
10.1.4★失信惩戒
合同期内,供应商应严格遵守采购人各项网络安全管理制度、税务信息化供应链安全管理等制度,规范人员管理,履行安全保密责任,严格按照合同约定提供业务运维和运行保障服务,如出现以下等失信行为的,采购人可要求供应商限期改正、扣除合同款项等惩戒,视具体情况按次扣除合同总价款1‰至1%之间的金额,合同生效期间累计扣除不超过合同总价款5%的金额;情节严重的,采购人有权采取解除合同、上报税务总局在全国税务部门通报、3年内限制参加税务系统信息化项目政府采购活动、推送财政主管部门纳入政府采购失信名单等相关对应措施。
(1)攻击或侵入税务信息系统(包括ca等);
(2)违反采购人网络安全管理规定,造成数据失窃、信息泄露、系统瘫痪等不良后果的;
(3)乙方运维服务质量评价被扣减5分(含5分)以上,且未按承诺改进到位的;
(4)违反合同约定内容,造成不良后果的;
(5)利用为税务机关提供信息化服务的便利,向纳税人、缴费人搭车收费或变相收费;
(6)另行开发销售合同业务需求范围内,供纳税人、缴费人使用的软件;
(7)存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的;
(8)违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员;
(9)其他违反规定造成不良后果的行为。
10.1.5其他
1.本项目中如涉及商品包装和快递包装的,其包装需求标准应不低于《关于印发<商品包装政府采购需求标准(试行)>;、<快递包装政府采购需求标准(试行)>;的通知》(财办库〔2020〕123 号)规定的包装要求,如有其他包装需求,详见采购文件技术部分相关章节。
************************委员会 2023 年第 2号《关于调整<网络关键设备和网络安全专用产品目录>;的公告》等相关文件要求,所投标(响应)设备或产品至少符合以下条件之一:一是已由具备资格的机构安全认证合格或安全检测符合要求;二是已获得《计算机信息系统安全专用产品销售许可证》,且在有效期内。
3.本项目中如涉及国家强制性产品认证证书(ccc 认证证书)、电信设备进网许可证、无线电发射设备核准证等市场准入类资质的,应严格执行国家相关法律法规的要求。
以上相关要求,由供应商在响应时应答,在履约验收中,采购人将按照采购文件、中标/成交供应商响应文件、采购合同等对中标/成交供应商提供的货物和服务进行验收,必要时依法依规开展相应检测、认证。
10.2知识产权要求
(1)招标人对项目实施过程中所产生的所有成果(包括发明、发现、可运行系统、功能优化部分的源代码及相关技术资料、文档等)享有永久使用权、复制权和修改权。除本项目工作所需外,未经招标人书面同意,投标人不得擅自使用、复制招标人的商标、标志、数据信息、文档及其他资料。
(2)投标人应保证在本项目中所有预装和为本项目安装的软件为在中国境内具有合法版权或使用权的正版软件且无质量瑕疵。
(3)投标人保证所提供的产品及服务不侵犯第三方的知识产权,否则,由此给招标人造成的一切损失由投标人承担。
10.3★项目归档要求
中标单位应按采购人管理要求做好项目文档归档。项目实施过程文档包括但不限于:有关产品知识、操作手册、平台运行维护经验、服务报告、技术文档、配置方案、实施文档、随机文档、手册等保证系统正常运行的必要技术资料。
中标单位应首要建立档案管理制度,确保文档资料完整齐全,所有电子档案均应与纸质档案内容相同,符合档案管理相关要求。
10.4★投标报价要求
1.投标人应在投标文件中清楚、详细地列支本项目涉及的费用:包含人员薪酬、加班费用、住宿、交通、社保福利、保险、培训、税金等与本项目相关的所有费用。涉及项目实施及服务所需的费用,未在投标文件中指明的,投标人必须考虑周全并承担相关费用。
2.投标人应提供合理的技术力量配置及工作量单价(单位:元/人月)。如投标人的报价明显低于其他通过符合性审查的投标人报价,有可能影响产品质量或不能诚信履约,投标人若不能按评委会要求证明其报价合理性,评委会可按无效投标处理。
3.如投标人以明显低于成本的报价恶意竞标,则招标人将按照违反税务系统信息化服务商失信行为记录相关制度进行处理。
10.5★争议处理
凡因本******法院提起诉讼。
10.6付款安排建议
1.1项目背景
1.1.1项目目的、意义及背景
网络安全形势近年出现新变化,网络安全态势变得越来越复杂,黑客攻击入侵、勒索病毒等网络安全事件愈演愈烈,严重威胁到我国的网络空间安全。同时,国内不少关键信息基础设施的建设管理单位安全意识不够、安全投入不足,面临网络安全保护的巨大挑战,让国家关键信息基础设施成为网络攻击的重灾区。
为了检验这些国家关键信息基础设施的实际安全防护能力,网络安全主管单位近年来,每年对包括政府部门、央企、内的部分国家关键信息基础设施开展网络安全攻防演练。届时公安部将组织由安全厂商、测评机构、安全服务商、运营商等单位的网络安全专业技术人员组成若干攻击队伍对列为目标的系统进行安全攻击测试,验证目标系统安全防护能力的有效性。
******税务局等互联网业务系统安全性,夯实网络安全基础,全面做好互联网安全保障,确保稳定运行,按照税务系统“外防攻击、内防窃数”的网络安全工作原则,一是做好省局互联网业务系统白帽子安全众测,充分挖掘互联网业务系统安全漏洞,提升业务安全能力。二是按照《网络安全法》和税务系统网络安全规范,开展网******税务局攻防演练(重大时期安全保障)和国家安全周宣贯服务。
本项目是延续性项目,上一年度服务期采购合同******有限公司。
本项目没有分包。
1.2项目内容
1.2.1采购内容
(1)互联网安全服务
******税务局面向社会公众服务的金税四期和金税三期相关重要互联网涉税应用系统14个;一年2次针对网络和数据安全事件应急响应支持服务;服务期一年。
(2)攻防演练(重大******税务局完成至少三次网络安全相关的攻防演习(省级、行业级及国家级)的安全方案制定、安全测试、安全加固和安全值守工作,按照采购人要求做好年度网络安全宣传周相关宣传内容的编制,宣传手册、宣传展示和网络及数据安全宣传的制作,开展相关的网络和数据安全广泛性宣传。每次攻防演习服务时间不低于20天。派驻的安全技术支持人员需具备全面的安全攻防理论知识,并具备较高的安全攻防能力。
1.2.2项目实施要求
1.2.2.1实施范围要求
采购人指定需要进行安全测试、漏洞挖掘和安全防护的互联网税费业务系统,按照服务要求做好国家、税务行业和省内组织的各类网络安全攻防演相关的安全值守及税务系统内网络安全周宣贯服务等。
1.2.2.2实施时间要求
2025年6月14日-2026年6月13日
1.2.2.3实施地点要求
******税务局数据处理中心
2投标/响应要求
2.1对供应商的要求
2.1.1必备资质
2.1.1.1投标人应遵守有关国家法律、法规和条例,具备《中华人民共和国政府采购法》第二十二条的规定和本文件中规定的条件。
2.1.2是否允许联合体
否
2.1.3是否专门面向中小企业
本项目专门面向中小企业采购项目
2.2技术部分投标/响应内容
2.2.1投标/响应方案要求
以下相关方案,若作为评审因素,则投标人应在满足★关键指标项要求的前提下,根据项目特点和采购需求,制定更为完整、详细、可操作性强的方案。
(1)项目需求理解
投标人须充分理解招标文件,根据招标文件有关章节提供的材料以及所了解的税务信息系统建设的情况,针对本项目的要求,承诺满足采购人列出的所有需求。此项内容作为考察投标人是否具备完成本项目能力的重要依据。
(2)项目实施方案
投标人须根据本次项目需求制定项目实施管理方案,方案内容应包含安全服务团队的组建,国家、行业和省级攻防演练的安全布防总体规划,7*24小时安全值守工作内容、安全众测服务的安排和执行、网络安全宣传周具体宣贯内容及安全应急响应支持服务等,方案内容完整,描述详尽,符合实际情况且优于规范要求,内容、方法与技术措施应完整、具体、合理,应符合要求。
(3)管理方案
投标人须按照项目管理要求编制相关方案,内容包括但不限于对计划管理、进度管理、配置管理、质量管理、风险管理、沟通管理等的实现描述。
3项目需求
3.1总体要求
******税务局涉税互联网应用系统的漏洞测试和发现,深层次挖掘现有互联网业务系统中存在的漏洞和隐患,并对漏洞修复提出可行性意见建议,确保涉税业务网络和数据安全。为采购人在国家、江西省和税务总局组织的网络安全攻防演练活动的准备阶段、实施阶段和总结阶段提供响应的技术规划、方案制定、隐患排查、边界加固和值班值守等具体服务内容,确保安全可控;为采购人年度网络安全和数据安全宣传提供方案策划,结合最新安全安全态势制定行相关安全宣传内容,提供安全宣贯相关物料,进一步提升税务干部和运维人员安全安全意识,提升安全管理水平。
3.2服务内容和要求
采购文件(技术部分)中有标注★号的,为必备服务要求,必须满足,如未作出响应,将导致响应无效;#为重要服务内容、△为一般服务内容。
3.2.1技术和服务客观指标
3.2.1.1★互联网安全服务
1、服务内容
互联网安全服务主要内容包括依托众测服务平台对采购人互联网业务系统开展漏洞挖掘测试及应急响应支持服务,详细要求如下:
| 序号 | 服务内容 | 数量/年限 | 说明 |
| 1 | 安全众测服务 | 2次/1年 | 应用系统一年2次税务信息系统漏洞挖掘服务,项目服务范围为采购人面向社会公众服务的所有互联网业务系统14个。 |
| 2 | 应急响应支持服务 | 2次/1年 | 一年2次针对网络与信息安全事件应急响应支持服务;服务期一年。 |
2、服务要求
(1)测试方法和漏洞至少包括端口扫描、sql注入、xxe注入、跨站脚本、口令获取、远程命令执行、社会工程、逻辑缺陷、越权漏洞、xss漏洞、csrf漏洞、ssrf漏洞、任意文件操作、web脚本及应用测试、中间件漏洞等。
(2)服务期内,针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等,供应商应以最直接方式向客户告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息等,必要时提供现场应急响应支持服务。
(3)服务期内,针对涉及采购人的紧急重大类行业漏洞信息、安全事件、重大舆情信息、重要系统漏洞级补丁信息等,供应商应以最直接方式向客户告知漏洞对采购人应用系统的危害、影响范围及修补方案等信息等,必要时提供现场应急响应支持服务。
(4)供应商在服务期内只能验证漏洞是否存在,不得影响系统运行或获取数据。
(5)供应商对服务期间发现的漏洞,及时提供漏洞报告并制定安全加固方案,协助采购人开展安全加固工作和回归测试。
(6)供应商应按采购人要求,就紧急、疑难问题提供远程电话或社交工具技术支持。
(7)在发现安全风险后,1个自然日内互联网渗透测试平台技术专家需提供相应的线上漏洞报告和解决建议。
(8)对于用户修复后的漏洞,由供应商提供严格的回检服务,并且在用户申请后的3日内反馈回检结果,确认漏洞是否修复;如若用户修复不成功则会告知用户继续修复,回检次数不做限制。
(9)供应商组织的安全检测,测试内容包括但不限于网络、系统、应用、业务流程等层面,同时应根据各层面特征有针对性的制定测试方案和测试策略,内容包括但不限于测试手法、测试工具、风险规避措施等。
(10)在服******税务局对接人。
(11)为保证被评估目标的覆盖面、真实性、深入性,深度发现应用系统所存在的网络安全问题和面临的网络安全威胁,每次测试参与测试人员不少于15人,时间不少于15天。测试验收时需保证至少发现10个以上导致业务严重危害的高危等级漏洞。
3.2.1.2★攻防演练(重大安全保障)和安全周宣贯服务
1、服务内容
攻防演练(重大安全保障)和安全周宣贯服务主要内容为在攻防演练及重大安全保障期间提供风险评估、渗透测试和应急值守工作,协助采购做好网络安全宣贯的组织筹备和宣贯资料及视频准备等,详细需求如下:
| 序号 | 服务内容 | 服务概述 |
| 1 | 风险评估服务 | 依据相关规范,在招标方允许的情况下,对目标范围内的系统资产、威胁、脆弱性等各方面进行评估,对主要资产的风险进行定性或定量的脆弱性风险分析,描述不同资产的风险高低状况,给出详细的风险评估报告、整改方案及技术支撑。 |
| 2 | 渗透测试服务 | 依据相关规范,在保证用户信息系统正常运行前提下,模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试,查找针对应用程序的各种漏洞。 |
| 3 | 漏洞扫描服务 | 依据相关规范,通过远程或者现场方式(具体方式由用户依据实际情况确定)使用专业的国产漏洞扫描工具对信息系统进行全面漏洞扫描工作,为安全加固提供安全建议。 |
| 4 | 基线核查服务 | 依据相关规范进行通过自动化和人工检查手段对网络(安全)设备的配置以及业务系统中的操作系统、数据库、中间件以及应用程序的配置情况进行核查,判断是否符合安全性要求,是否存在安全风险和隐患,并能根据不同业务系统的要求,进行相应等级的提供设置建议。 |
| 5 | 威胁监测与主动响应服务 | 安全专家对不同安全设备的安全日志、流量进行关联分析,主动识别网络和主机中的安全威胁,协助招标方处置安全事件,并提供加固建议。 |
| 6 | 安全培训服务 | 根据客户的实际需求提供安全意识、安全理论知识、威胁分析处置理论和实际操作技能培训 |
| 7 | 驻场值守服务 | 在服务期间,安全人员在现场提供7*24小时安全事件分析、协助用户处置安全服务 |
| 8 | 应急响应服务 | 当发生外部黑客入侵、数据泄露、木马病毒等突发安全事件时,提供包括事件检测与分析、风险抑制、问题根除、协助业务恢复的服务,能够协助用户快速止损,最大化降低安全事件带来的影响 |
| 9 | 应急演练服务 | 通过提前制定应急演练预案,并协助单位开展预案演练,提高应对安全事件的处置能力,预防和减少安全事件造成的危害和损失。 |
| 10 | 网络安全宣传周服务 | 在网络安全宣传周期间,配合采购人单位完成主题安全讲座、安全宣传工作(例如:安全宣传海报展板制作、安全宣传视频制作、安全宣传手册制作)等。 |
2、服务要求
(1)投标人需提供不少于10名安全服务工程师,在本年度内配合采购人完成至少3次网络安全相关的攻防演习(省级、行业级及国家级)的安全方案制定、安全测试、安全加固和安全值守工作。
(2)按照采购人要求做好年度网络安全宣传周相关宣传内容的编制,宣传手册、展板和网络及数据安全宣传视频的制作,开展相关的网络和数据安全广泛性宣传。每次攻防演习服务时间不低于20天。派驻的安全技术支持人员需具备全面的安全攻防理论知识,并具备较高的安全攻防能力。
3.2.1.3★安全技术支持服务
1、供应商需按照国家关于建设安全防护体系的指导思想,结合江西税务业务网络安全的现状,强化互联网安全保障,做好互联网涉税应用系统的安全众测,协助开展相关的安全漏洞整改复测;在攻防演练期间应对可能发生的网络安全事件,最大力度保障本单位网络系统在攻防演练中全面防御来自攻击方的网络攻击,打赢“攻防演练”防御战。同时,加强本单位自身信息系统的安全保护措施,完善信息安全体系建设和实施,提升网络安全防护能力。
2、建立可靠的安全应急响应预案和应急响应处理流程,最大限度消除系统运行中各类突发事件的危害和影响,保障系统不受突发安全事件的破坏,确保系统的业务连续性和可用性,实现应急响应工作的规范化、制度化和流程化。
3、按照采购人信息系统运行特点积极做好安全保障和漏洞测试工作,建立信息安全预警和事件快速反应机制,建立高效的事件汇报渠道,保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接,一旦出现影响信息系统的安全事件,快速反应,及时准确处置。在现有安全监测措施的基础上,对重点系统进行持续和重点加强监控,及时发现安全隐患进行安全预警,并采取针对性的应对措施消除隐患。按照“早发现、早报告、早处置”的原则,加强对信息安全突发事件和可能引发信息安全突发事件的有关信息的收集、分析判断和持续监测。
3.2.2技术和服务优选指标
| 序号 | 指标种类 | 指标名称 | 指标内容 | 重要性 | 是否需要证明材料 |
| 1 | 众测平台功能 | 流量审计 | 众测平台可以对 http、https 进行全流量分析,全过程无死角,众测中的攻击过程可大屏可视化展示。 | # | 是 |
| 2 | 众测平台功能 | 漏洞预警 | 众测平台具备通过邮件、短信或 app 推送单位相关的漏洞信息,以及行业高危漏洞预警的能力。 | # | 是 |
| 3 | 众测平台功能 | 加密通信 | 众测平台全站支持 ssl 加密通信,并对平台自身进行过专业安全检测。 | # | 是 |
| 4 | 众测平台功能 | 漏洞审核 | 众测平台有专业的漏洞审核人员进行漏洞有效性验证和级别的定义。 | # | 是 |
| 5 | 众测平台功能 | 信息通知 | 支持设置平台消息通知的接收方式,包括邮件、短信和微信三种通知。 | # | 是 |
| 6 | 众测平台功能 | 测试过程可视化 | 众测服务全程可实现可视化,通过对流量数据的监测分析及数据间的关联关系判断, 识别当前动作所处攻击环节, 同时定位攻击发起时间、攻击利用位置、攻击源等信息, 能够对测试动 作进行还原描绘, 按照攻击链理论将测试动作映射到攻击链模 型上, 形成完整攻击链可视,使安全服务过程“实战化 ”呈现 。 | # | 是 |
| 7 | 众测人员要求 | 人员能力 | 仿真实战靶场考核,对于参与项目的白帽子进行人员能力筛选。 进而保障项目参与人员素质,确保交付质量 ;为确保测试人员可信及服务质量, 必须以定向邀请的方式进行 虚拟众测团队的组建,提供邀请机制证明。 | # | 是 |
| 8 | 众测人员要求 | 人员能力 | 参与项目人员需在cnvd、cnnvd、vndb等平台提交过高危漏洞,并提供证明材料。 | # | 是 |
4人员要求
4.1总体要求
供应商应按照本项目服务要求组建不少于10人的综合技术服务团队,提供互联网安全众测服务、互联网安全应急响应支撑服务、重大时期保障和攻防演练等高技术服务,参与本项目的漏洞众测的技术服务人员应具有较高网络安全经验、安全渗透和攻击防范技能,熟悉精通windows、linux、数据库、中间件安全防护技术,确保能深度发现现有应用系统存在的安全隐患,发生网络攻击时能及时阻断攻击并开展攻击溯源。供应商应针对本项目提供具有网络安全3年及以上从业经验、获得相关网络安全类证书的技术服务人员。互联网众测工作要求每次众测征集不少于15名通过认证的白帽子,重大保障及攻防演习提供不少于10名的专业安全工程师,在服务器内按照采购人要求完成至少三次网络安全相关的攻防演习(省级、行业级及国家级)的安全方案制定、安全测试、安全加固和7*24小时安全值守工作。
4.2管理团队
4.2.1项目经理
供应商要配备有经验的专职项目经理,项目经理作为项目的总接口人及项目总负责人,负责项目实施的全面工作。在项目实施过程中,项目经理严格按照项目实施计划,全权负责项目进度的管理与监督,根据实际业务要求、各种资源状况、系统运行状况,项目经理须全面规划出符合实际的整个工作进度计划,其中包括:工作进度总时间表和人力资源表;各阶段的具体工作内容、工作周期以及相应的负责人员;项目里程牌的定义及完工标准。项目经理将按照制订的工作进度计划对项目实施进行协调、监督与管理,定期向项目领导小组做进度报告;对于计划调整的部分,必须及时向采购人提交变更申请,在得到批准后,及时调整工作进度计划,并在保证工期和质量的前提下,协调各种资源,监督项目实施。项目经理要审查技术实施后的项目质量,以确保整个项目顺利、高质量的完成。
4.3技术团队
供应商需为本项目组建技术服务团队,互联网安全众测白帽子根据安全测试要求现场征集,相关白帽子必须具备安全渗透测试和漏洞发现相关的资质和技术能力,负责重大时期保障和攻防演练的服务人员必须具备渗透测试、日志审核和溯源应急相关的安全技能。同时,供应商须为本项目组建二线技术支持团队。二线技术支持团队配置完全,至少包含安全攻防专家、安全溯源专家、数据库专家、安全应急响应专家等。
4.4优选资质/优选指标
| 序号 | 人员类别 | 人员岗位 | 人员要求 | 是否作为加分项 |
| 1 | 服务人员 | 项目经理 | 具备cisp(注册信息安全专家)和pmp等认证能力之一或多个。 | 是 |
| 2 | 服务人员 | 安全工程师 | 对于参与攻防演练(重大安全保障)的安全工程师,提供不少于6名具备cisp(注册信息安全专家)证书的人员。 | 是 |
5管理实施要求
(1)投标人应成立项目组,严格遵守本项目管控的要求。基于成熟的项目管理方法论,制订完善的项目管理制度、流程,合理划分项目管理的阶段,在项目执行过程中对项目进行规范化管理,确保项目进度和质量。
(2)若在本技术需求书中出现不合理或不完整等可能影响项目实施的问题,中标人有责任和义务提出补充修改方案并征得招标人同意后付诸实施,招标人不再另行支付任何费用。其他未尽事宜,由中标人与招标人协商。
5.1沟通管理
项目实施过程中,投标人须通过建立制度化的沟通渠道等方式,加强与招标人的沟通。投标人须遵守招标人项目管理相关规定,接受招标人项目组和项目负责人的领导,指定负责人与招标人保持沟通和协调。投标人须建立项目例会制度,就项目进展情况、存在的问题、需要协调的主要事项、下一阶段工作计划等与招标人进行适时地沟通协调。
5.2进度管理
投标人须采用科学合理的方法确定进度目标,编制项目进度计划,在确保项目质量和安全的原则下,控制项目进度。
5.3质量管理
投标人应具备完善的质量管理体系,督促落实各环节质量控制内容和目标,保证各个阶段工作满足招标人对质量的要求。投标人应根据项目进度计划,对阶段性工作成果进行审查和测试,并向招标人提交里程碑工作成果,保证各阶段性成果的质量和整个项目的质量。
5.4变更管理
投标人应具备完善的质量管理体系,督促落实各环节质量控制内容和目标,保证各个阶段工作满足招标人对质量的要求。投标人应根据项目进度计划,对阶段性工作成果进行审查和测试,并向招标人提交里程碑工作成果,保证各阶段性成果的质量和整个项目的质量。
5.5风险管理
投标人应制定应急预案,针对项目进行过程中可能存在的风险,进行评估和制定应对措施。
6保密要求
按照税务总局要求,在提供技术前,供应商和运维服务人员必须与采购人签订相关安全保密协议和承诺书,承诺包括网络安全管理规定和相关保密要求。保密时限最低10年,法律法规有规定的从其规定,中标人未经采购人技术部门和业务部门许可,不得私自对外开放系统接口及系统数据,因个人原因导致采购人安全问题和数据泄密需承担法律责任。
供应商在任何时候对其持有的事务或其事务运转操作方法等信息实行严格保密;除非有书面授权或出于相关方进行活动的必要,不得在任何时间向任何人透露任何保密信息;除非有书面指示或出于履行其义务的合理要求,不得把任何保密信息交给任何人;不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。
具体要求如下:
1、供应商必须与采购人签署信息安全保密协议,保证采购人信息不被泄露;
2、供应商为采购人提供运维服务的人员必须与采购人签署信息安全保密承诺书;
3、供应商应严格遵守采购人的各项安全管理制度,严格按照操作流程操作,避免人为或非人为因素的信息泄露;
4、进入采购人服务地点的人员禁止携带任何移动存储平台进入工作场地,并要求对接触的信息保密。
5、运维服务人员必须遵守江西税务安全管理规范,因个人原因导致采购人安全泄密需承担法律责任。
7知识转移要求
******税务局相关管理规程和要求,将项目执行过程所涉及的相关知识和工作文档按照招标人提出的质量、数量、提供方式、提供时间等要求进行整理,并按照要求转移给招标人。具体要求如下:
(1)投标人须将项目开展涉及的源代码、需求文档、设计文档、安装使用文档等知识通过文档等形式转移给招标人,并将项目所涉及的其他各类工作文档按照要求进行移交归档。
(2)项目实施过程中,为确保移交文档的一致性和完整性,投标人须按照项目实施计划,分层次、分阶段进行项目文档提交。
(3)项目结束时,投标人须按照项目要求及时向招标人移交项目所有相关文档。
8风险管控要求
(1)安全风险管理
投标人应充分预估项目实施中存在的安全风险,包括并不限于:服务人员人身伤害风险、网络安全、数据安全要求等,制定可靠的安全保障措施。
(3)进度风险管理
投标人应充分预估项目实施中存在的影响项目进度的风险,包括并不限于工作量变更、人员变更等,制定可靠的进度保障措施,确保项目按期完成。
3()质量风险管理
投标人应充分预估项目实施中的质量风险,严格按照系统运行管理要求,保质保量完成系统运行维护工作,制定可靠的质量控制措施。
9履约验收要求
9.1总体要求
| 验收名称 | 验收要求 |
| 第1次验收 | 服务期结束后开展项目最终验收 |
9.2具体要求
1、验收主体
由采购人自行组织相关项目管理及验收小组进行最终验收。
2、验收时间
服务期结束后开展项目最终验收。
3、验收方式
审核本项目互联网安全服务、重大时期安全保障和安全周宣贯服务实施工作内容的完成情况,审核服务的合规性和完整性,与合同要求的符合性。
4、验收程序
中标人应按照采购人要求,移交项目实施过程中的各类文档,并经过采购人或者验收小组验收签字。
5、验收内容
(1)服务商应按照采购人要求,移交项目施过程中的各类文档,并经过采购人验收签字。
(2)各项安全服务的执行情况等。
(3)检验各项验收文档资料是否完整、准确、规范。
(4)审查实施服务报告,评价各类服务对象的运行稳定性。
(5)审查服务人员工作主动性,是否按时按量完成采购人交办的与服务相关的工作。
(6)中标人应就项目实施工作,采取文档讲解、会议研讨、培训、在日常工作中进行传帮带等方式,完成对采购人的知识转移工作。
6、主要交付物
中标人应向采购人提供以下文档但不限于下述文档:
(1)服务报告。出具包括但不限于盖章签字的互联网业务系统众测项目服务报告、应用系统安全漏洞修复报告,互联网安全应急响应服务报告,项目验收总结报告、网络安全攻防演练安全测试报告、网络安全攻防演练总结报告,网络安全攻防演练布防技战法报告,网络安全宣传周宣贯工作总结报告等。
(2)实施方案。项目实施技术方案。
(3)会议纪要。按采购人要求召开例会讨论服务过程中出现的问题,记录并整理会议纪要。
(4)项目验收文档。项目验收过程中产生的所有验收报告、明细清单,并汇总成册。
(5)过程文档。项目实施过程中形成的工作计划和工作记录。
(6)变更文档。项目实施过程中的发生的计划变更、内容变更、配置变更等实时记录。
(7)项目其它文档。项目实施过程中需要归档的其它文档。
7、验收标准
(1)服务依据:《税务系统政府采购履约验收管理办法》(试运行)
(2)本项目服务期结束。
(3)中标人保质保量、按整体解决方案如期完成采购人互联网安全众测、应急响应支持、重大时期保障、攻防演习值守及安全周宣贯等工作任务,满足采购人对服务质量、技术指标、服务成果全部要求。
10其他要求
10.1必备要求
10.1.1★税收信息化项目开发和应用管理工作要求
供应商在采购以及后续项目实施过程中,应严格遵守国家税务总局税收信息化项目开发和应用管理工作要求。对于因失信行为纳入《税务系统信息化服务商失信行为记录名单》的供应商,存在一般失信行为的,由采购人函告服务商;存在严重失信行为的,由采购人约谈服务商主要负责人;对于违反合同约定的,依据合同约定及政府采购有关规定,采购人可采取要求限期改正、在应付合同金额中扣除违约金、解除合同、拒绝参加税务系统政府采购活动等措施;对于存在影响恶劣的严重违法失信行为的,由采购人按规定推送财政部纳入政府采购严重违法失信行为记录名单。
本项目不涉及信息化项目开发和应用管理。
10.1.2★供应链安全管理要求
1、人员资格要求
(1)签订承诺书。供应商应严格落实国家税务总局网络安全和保密管理要求,承担技术支持人员的网络安全和保密管理责任,按采购人要求签订协议和承诺书。
(2)开展背景审查。供应商承担技术支持人员背景审查工作,提供其身份证明、履历、家庭成员及主要社会关系、无犯罪记录证明等材料,并提交采购人进行备案。
(3)设置网络安全负责人(由驻场运维人员兼任)。供应商为本项目配备一名网络安全负责人,该负责人具备独立决策能力并保持相对稳定,在项目实施的全过程负责网络安全工作,组织落实各项网络安全要求。
2、日常行为规范要求
(1)工作能力要求。供应商负责对技术支持人员进行资格条件、工作胜任力以及网络安全能力评估,对技术支持人员承担的工作进行安全保密风险分析,明确技术支持人员工作范围和边界,重点防范设备和资料失窃、误操作导致的软硬件故障、工作秘密和税费数据等信息泄露、信息系统越权访问和网络攻击等风险。
(2)教育培训要求。供应商负责对技术支持人员进行网络和数据安全法律法规、网络安全意识、网络安全管理、网络安全技能、保密意识以及网络安全警示教育等培训,上岗前对其进行考核。
3、违约惩戒措施
供应商对供应链安全管理责任落实不到位,造成安全事件或产生不良影响的,采购人按照《税务系统信息化服务商失信行为记录名单制度(试行)》(税总办征科发〔2022〕1号)要求,组织对供应商进行失信行为认定,并采取相应的处置措施。
4、安全管控要求
源代码安全要求。供应商应加强源代码安全管理,开发环境的可信可控,使用第三方组件必须执行测试和升级加固,确保税务供应链安全。
10.1.3★信息化服务运维人员要求
本项目涉及信息化服务运维人员的,运维人员应当是运维单位的正式人员,或者是与运维单位签订1年以上劳动合同且实际工作满1年的人员,常驻运维人员应当为技术骨干。
10.1.4★失信惩戒
合同期内,供应商应严格遵守采购人各项网络安全管理制度、税务信息化供应链安全管理等制度,规范人员管理,履行安全保密责任,严格按照合同约定提供业务运维和运行保障服务,如出现以下等失信行为的,采购人可要求供应商限期改正、扣除合同款项等惩戒,视具体情况按次扣除合同总价款1‰至1%之间的金额,合同生效期间累计扣除不超过合同总价款5%的金额;情节严重的,采购人有权采取解除合同、上报税务总局在全国税务部门通报、3年内限制参加税务系统信息化项目政府采购活动、推送财政主管部门纳入政府采购失信名单等相关对应措施。
(1)攻击或侵入税务信息系统(包括ca等);
(2)违反采购人网络安全管理规定,造成数据失窃、信息泄露、系统瘫痪等不良后果的;
(3)乙方运维服务质量评价被扣减5分(含5分)以上,且未按承诺改进到位的;
(4)违反合同约定内容,造成不良后果的;
(5)利用为税务机关提供信息化服务的便利,向纳税人、缴费人搭车收费或变相收费;
(6)另行开发销售合同业务需求范围内,供纳税人、缴费人使用的软件;
(7)存在馈赠礼品礼金、邀请娱乐消费等非正常交往手段“围猎”税务人员行为的;
(8)违法违规聘用3年内离职且离职前3年内从事过税务信息化及相关信息系统业务条线工作人员;
(9)其他违反规定造成不良后果的行为。
10.1.5其他
1.本项目中如涉及商品包装和快递包装的,其包装需求标准应不低于《关于印发<商品包装政府采购需求标准(试行)>;、<快递包装政府采购需求标准(试行)>;的通知》(财办库〔2020〕123 号)规定的包装要求,如有其他包装需求,详见采购文件技术部分相关章节。
************************委员会 2023 年第 2号《关于调整<网络关键设备和网络安全专用产品目录>;的公告》等相关文件要求,所投标(响应)设备或产品至少符合以下条件之一:一是已由具备资格的机构安全认证合格或安全检测符合要求;二是已获得《计算机信息系统安全专用产品销售许可证》,且在有效期内。
3.本项目中如涉及国家强制性产品认证证书(ccc 认证证书)、电信设备进网许可证、无线电发射设备核准证等市场准入类资质的,应严格执行国家相关法律法规的要求。
以上相关要求,由供应商在响应时应答,在履约验收中,采购人将按照采购文件、中标/成交供应商响应文件、采购合同等对中标/成交供应商提供的货物和服务进行验收,必要时依法依规开展相应检测、认证。
10.2知识产权要求
(1)招标人对项目实施过程中所产生的所有成果(包括发明、发现、可运行系统、功能优化部分的源代码及相关技术资料、文档等)享有永久使用权、复制权和修改权。除本项目工作所需外,未经招标人书面同意,投标人不得擅自使用、复制招标人的商标、标志、数据信息、文档及其他资料。
(2)投标人应保证在本项目中所有预装和为本项目安装的软件为在中国境内具有合法版权或使用权的正版软件且无质量瑕疵。
(3)投标人保证所提供的产品及服务不侵犯第三方的知识产权,否则,由此给招标人造成的一切损失由投标人承担。
10.3★项目归档要求
中标单位应按采购人管理要求做好项目文档归档。项目实施过程文档包括但不限于:有关产品知识、操作手册、平台运行维护经验、服务报告、技术文档、配置方案、实施文档、随机文档、手册等保证系统正常运行的必要技术资料。
中标单位应首要建立档案管理制度,确保文档资料完整齐全,所有电子档案均应与纸质档案内容相同,符合档案管理相关要求。
10.4★投标报价要求
1.投标人应在投标文件中清楚、详细地列支本项目涉及的费用:包含人员薪酬、加班费用、住宿、交通、社保福利、保险、培训、税金等与本项目相关的所有费用。涉及项目实施及服务所需的费用,未在投标文件中指明的,投标人必须考虑周全并承担相关费用。
2.投标人应提供合理的技术力量配置及工作量单价(单位:元/人月)。如投标人的报价明显低于其他通过符合性审查的投标人报价,有可能影响产品质量或不能诚信履约,投标人若不能按评委会要求证明其报价合理性,评委会可按无效投标处理。
3.如投标人以明显低于成本的报价恶意竞标,则招标人将按照违反税务系统信息化服务商失信行为记录相关制度进行处理。
10.5★争议处理
凡因本******法院提起诉讼。
10.6付款安排建议
| 付款名称 | 付款要求 | 付款比例(%) |
| 第1次付款 | 合同生效之日起且收到发票后10个工作日内支付 | 30.0 |
| 第2次付款 | 在合同生效并按规定执行6个月后且收到发票后10个工作日内支付 | 40.0 |
| 第3次付款 | 合同履约期满且验收合格且收到发票后10个工作日内支付尾款 | 30.0 |
